電廠網(wǎng)絡(luò)安全研究分析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電廠網(wǎng)絡(luò)安全研究分析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)安全面臨著嚴峻挑戰(zhàn)，黑客的攻擊呈現(xiàn)出目標明確、手段多樣、隱蔽性強等特點，僅僅依靠傳統(tǒng)的邊界安全防護技術(shù)，已無法滿足當前網(wǎng)絡(luò)安全的需求，迫切需要新的技術(shù)，網(wǎng)絡(luò)欺騙防御技術(shù)就是目前受到廣泛關(guān)注和討論的一種安全防御手段，區(qū)別于傳統(tǒng)被動式安全防護手段，這是一種主動式防御手段。本文圍繞網(wǎng)絡(luò)欺騙防御技術(shù)在電廠網(wǎng)絡(luò)安全中的應(yīng)用進行了研究。提出了通過網(wǎng)絡(luò)欺騙防御系統(tǒng)建立網(wǎng)絡(luò)欺騙防御體系，來加強電廠網(wǎng)絡(luò)安全監(jiān)控與管理的思想，并結(jié)合電廠網(wǎng)絡(luò)的實際情況，給出了該系統(tǒng)在電廠中的實際應(yīng)用方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)欺騙防御技術(shù)；電廠

電廠是國家重要的基礎(chǔ)設(shè)施之一，隨著國家電網(wǎng)建設(shè)與使用，電廠工控系統(tǒng)所面臨的安全風險越來越突出，發(fā)電系統(tǒng)安全事關(guān)國家安全，影響國計民生。近些年國內(nèi)外電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊事件比比皆是，例如：烏克蘭電網(wǎng)攻擊事件、以色列電力供應(yīng)系統(tǒng)遭重大網(wǎng)絡(luò)攻擊事件、委內(nèi)瑞拉大停電事件等等，造成惡劣的影響與重大的經(jīng)濟損失。同時，從NAS方程式組織網(wǎng)絡(luò)攻擊武器的大規(guī)模泄露，到‘永恒之藍’漏洞，再到被廣泛應(yīng)用的各類Web應(yīng)用漏洞、IoT漏洞；從趨于定向化和敏捷化的勒索攻擊，到各類挖礦攻擊的全面鋪開；從屢次的數(shù)據(jù)泄露事件曝光，到幾乎每天曝光的APT攻擊。不絕于耳的網(wǎng)絡(luò)安全事件讓我們深切感受到攻擊手段更加武器化，經(jīng)濟利益驅(qū)使下的黑客的攻擊更加理性化，網(wǎng)絡(luò)攻擊更加產(chǎn)業(yè)化，國與國之間的攻防對抗常態(tài)化，網(wǎng)絡(luò)攻擊面更加擴大化。“網(wǎng)絡(luò)安全的本質(zhì)是對抗，對抗的本質(zhì)是攻防兩端能力的較量”，高級威脅逐年呈上升趨勢，APT攻擊、0day漏洞等未知威脅攻擊對傳統(tǒng)安全防護手段帶來極大挑戰(zhàn)，攻防博弈不斷升級，攻防不平衡的現(xiàn)狀亟待新的防御方案，網(wǎng)絡(luò)欺騙防御系統(tǒng)建設(shè)將進一步提升電廠系統(tǒng)安全防護水平，強化電廠網(wǎng)絡(luò)安全防護體系，防范和遏制重大網(wǎng)絡(luò)安全事件，確保電力生產(chǎn)安全穩(wěn)定運行和電力可靠供應(yīng)。

1安全建設(shè)現(xiàn)狀

經(jīng)過多年的網(wǎng)絡(luò)安全建設(shè)，電廠網(wǎng)絡(luò)安全防護系統(tǒng)已建立以防火墻、上網(wǎng)行為管理、入侵防御系統(tǒng)、正反向隔離等傳統(tǒng)安全設(shè)備為主的網(wǎng)絡(luò)安全防線，按照《電力監(jiān)控系統(tǒng)安全防護總體方案》要求，堅持以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體防護原則，對業(yè)務(wù)系統(tǒng)進行全面的安全防護建設(shè)完善，已具備了應(yīng)對多種網(wǎng)絡(luò)安全威脅的防護能力，同時，通過網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整和日志審計等技術(shù)手段，使得公司信息網(wǎng)絡(luò)能夠在滿足網(wǎng)絡(luò)安全要求的同時，實現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)業(yè)務(wù)數(shù)據(jù)的安全穩(wěn)定的交互，進一步強化公司網(wǎng)絡(luò)抵御網(wǎng)絡(luò)安全風險的能力，提高電力系統(tǒng)信息網(wǎng)絡(luò)安全，促進網(wǎng)絡(luò)信息技術(shù)更好地應(yīng)用。部署安全設(shè)備的網(wǎng)絡(luò)安全拓撲示意圖如圖1所示。圖1中安全設(shè)備包括網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理、入侵防御系統(tǒng)和日志審計等，防火墻分別在邊界上進行部署，通過策略控制訪問權(quán)限，上網(wǎng)行為串聯(lián)方式部署在防火墻與核心網(wǎng)絡(luò)設(shè)備之間，同時在核心設(shè)備旁路部署入侵防御系統(tǒng)，對網(wǎng)絡(luò)攻擊流量進行檢測，日志審計旁路部署服務(wù)器交換機上，殺毒軟件由公司統(tǒng)一部署管控，生產(chǎn)控制大區(qū)通過正向隔離設(shè)備與管理信息大區(qū)進行單向隔離防護。

2電廠網(wǎng)絡(luò)安全形勢

隨著我國電力系統(tǒng)的網(wǎng)絡(luò)化和智能化發(fā)展，電力系統(tǒng)中應(yīng)用的大量IT通用軟件，以及電力專用軟件，其涉及的操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫以及中間件等都可能存在設(shè)計缺陷和漏洞。當管理系統(tǒng)尤其是生產(chǎn)管理系統(tǒng)與互聯(lián)網(wǎng)連接時，攻擊者可通過利用漏洞向電力系統(tǒng)植入病毒、木馬等惡意軟件進而竊取系統(tǒng)中的重要信息和數(shù)據(jù)。同時，高級持續(xù)性威脅APT攻擊、利用“0day”漏洞的先進的攻擊手段，以及攻擊者通過社會工程學(xué)方法對目標進行“魚叉攻擊”、“水坑攻擊”，利用防御方人員安全意識淡薄，對電力行業(yè)特定目標進行長期持續(xù)性的網(wǎng)絡(luò)攻擊，可繞過傳統(tǒng)安全設(shè)備的防線，成為當前電力網(wǎng)絡(luò)安全所面臨的最大威脅。欺騙防御技術(shù)是防守者得以觀察攻擊者行為的新型主動防御技術(shù)[1]，通過誘騙攻擊者和惡意應(yīng)用暴露自身，以便研究人員能夠設(shè)計出有效防護措施。欺騙防御技術(shù)提供低誤報、高質(zhì)量的監(jiān)測數(shù)據(jù)。因此，電廠安全人員在構(gòu)建自身威脅檢測能力時候，應(yīng)將欺騙防御技術(shù)加入安全防御體系中。

3部署實現(xiàn)

電廠網(wǎng)絡(luò)系統(tǒng)應(yīng)用欺騙防御技術(shù)，首先要部署欺騙防御技術(shù)所需要的基礎(chǔ)功能模塊，包括：蜜罐服務(wù)管理、威脅日志分析、統(tǒng)計分析展現(xiàn)及系統(tǒng)概覽展現(xiàn)。各模塊的主要功能如下：

3.1蜜罐服務(wù)管理

蜜罐服務(wù)提供蜜罐管理、仿真溯源、誘餌設(shè)置，主要由各類蜜罐組成，其中包括低中高三類蜜罐，低交互蜜罐主要由常見網(wǎng)絡(luò)協(xié)議組成，另外也包含常見工控網(wǎng)絡(luò)協(xié)議。中交互蜜罐具備一定的交互性，可模擬電廠真實資產(chǎn)增加蜜罐甜度，如ssh、telnet可讓用戶登錄并提供可操作終端；高交互蜜罐模擬真實的信息資產(chǎn)，如Linux、Windows設(shè)備、ERP系統(tǒng)等，并在系統(tǒng)內(nèi)部放置虛假的敏感文件引誘攻擊者觸發(fā)捕獲機制。蜜罐類型包括熱點安全事件蜜罐，實現(xiàn)快速升級；支持中間件的仿真，包括tomcat、weblogic、JBoss等；支持OA系統(tǒng)等Web類應(yīng)用的仿真，涵蓋常見web漏洞仿真；常見數(shù)據(jù)庫的仿真，包括mySQL、Redis、MogoDB等；系統(tǒng)服務(wù)包括常見文件傳輸服務(wù)FTP/TFTP、和運維服務(wù)SSH/Telnet等。

（1）蜜罐管理。欺騙防御系統(tǒng)蜜罐管理功能支撐自定義蜜罐分組，相同分組下的蜜罐組成隔離與生產(chǎn)網(wǎng)絡(luò)的蜜網(wǎng)，蜜網(wǎng)內(nèi)的蜜罐系統(tǒng)之間可進行網(wǎng)絡(luò)訪問和交互。蜜罐支撐重置、刪除、查看蜜罐副本數(shù)量、創(chuàng)建時間和集群節(jié)點等詳細信息。

（2）仿真溯源。欺騙防御系統(tǒng)提供仿真溯源蜜罐自定義功能，可靈活根據(jù)電廠需求仿真業(yè)務(wù)系統(tǒng)定制偽裝業(yè)務(wù)系統(tǒng)。模板創(chuàng)建支持自定義業(yè)務(wù)系統(tǒng)展現(xiàn)元素，包括：模板名稱、網(wǎng)頁標題、版權(quán)信息，上傳網(wǎng)站LOGO和標題欄圖標等元素。同時支持仿真溯源蜜罐模板一鍵復(fù)制功能，為電廠快速實施蜜罐部署提供便利。

（3）誘餌管理。欺騙防御系統(tǒng)提供互聯(lián)網(wǎng)誘餌（GitHub）是指在公開的網(wǎng)站中設(shè)置虛假信息，在黑客收集信息階段對其造成誤導(dǎo)，使其攻擊目標轉(zhuǎn)向蜜罐，間接保護其他資產(chǎn)。誘餌配置提供詳細說明，填寫信息并下載誘餌項目，然后登錄到GitHub，新建倉庫并上傳誘餌即可。

（4）其他功能。欺騙防御系統(tǒng)提供郵件告警外發(fā)功能，支持內(nèi)部可信掃描設(shè)備添加可信主機功能，支持syslog將詳細日志發(fā)送給第三方平臺，為網(wǎng)絡(luò)安全整體決策提供有效數(shù)據(jù)。同時支持威脅情報聯(lián)動，通過威脅情報實時查詢惡意IP，將惡意文件上傳至情報平臺進行分析。

3.2威脅日志分析

威脅日志分析提供蜜罐會話日志、詳細日志列表、攻擊者溯源分析。蜜罐會話日志提供基于蜜罐訪問的五元組的日志統(tǒng)一展現(xiàn)，可下鉆查看從會話建立到會話結(jié)束全過程基于時間軸的操作日志；日志列表提供告警日志的統(tǒng)一展現(xiàn)，同時支持告警詳細信息查看功能；攻擊者溯源提供攻擊者詳細指紋，如攻擊者五元組，瀏覽器信息，終端信息，掃描工具等信息，通過指紋信息以及情報系統(tǒng)的結(jié)合，準確定位攻擊者位置或身份，達到溯源目的。

3.3統(tǒng)計分析展現(xiàn)

統(tǒng)計分析功能模塊提供系統(tǒng)資源實時動態(tài)展現(xiàn)、攻擊來源IP地圖、攻擊統(tǒng)計報表、攻擊源分析。系統(tǒng)資源模塊提供自身資源使用情況實時動態(tài)展現(xiàn)，包括：內(nèi)存使用率、磁盤讀取寫入、網(wǎng)卡上傳下載速率。每項性能指標均提供詳細的動態(tài)實時展現(xiàn)。攻擊來源IP地圖提供攻擊來源全球地圖，提供攻擊來源地理位置定位與分析展現(xiàn)。攻擊統(tǒng)計報表提供自定義報表統(tǒng)計功能，可靈活定義導(dǎo)出近一個月、近三個月、近半年以及自定義開始和結(jié)束時間范圍內(nèi)的攻擊統(tǒng)計報表功能。統(tǒng)計報表支持PDF報表、HTML報表下載與分析。攻擊源分析提供圍繞攻擊源IP地址的基于時間軸的入侵次數(shù)分析和基于蜜罐服務(wù)的入侵次數(shù)分析能力，同時提供攻擊源的入侵日志詳情展現(xiàn)。

3.4系統(tǒng)概覽展現(xiàn)

系統(tǒng)概覽為電廠安全人員了解自身網(wǎng)絡(luò)環(huán)境安全現(xiàn)狀和趨勢分析。提供每日入侵發(fā)現(xiàn)次數(shù)、歷史入侵發(fā)現(xiàn)次數(shù)和當前誘捕蜜罐個數(shù)統(tǒng)計，以時間軸動態(tài)實時展現(xiàn)攻擊告警數(shù)量趨勢統(tǒng)計；提供蜜罐服務(wù)類型統(tǒng)計餅形圖，被入侵蜜罐傳感器TOP10以及攻擊者來源IP統(tǒng)計。欺騙防御系統(tǒng)采用旁路接入模式，不改變電廠原有網(wǎng)絡(luò)架構(gòu)，無需鏡像流量，適用于多種網(wǎng)絡(luò)環(huán)境，可單機部署、分布式部署、集群部署。分別在管理信息區(qū)和生產(chǎn)控制區(qū)部署誘捕軟件（探針）和業(yè)務(wù)仿真系統(tǒng)，捕獲內(nèi)網(wǎng)滲透和APT攻擊等常規(guī)安全設(shè)備難以發(fā)現(xiàn)的攻擊，并可對數(shù)據(jù)進行溯源，定位攻擊來源和攻擊者身份，溯源取證。

4應(yīng)用效益

在電廠網(wǎng)絡(luò)按照欺騙防御技術(shù)功能框架部署完成后，欺騙防御系統(tǒng)定制業(yè)務(wù)高仿真和組建蜜網(wǎng)，通過在入侵者必經(jīng)之路上構(gòu)造陷阱，混淆攻擊目標，吸引攻擊者進入蜜網(wǎng)，拖住攻擊者，延緩攻擊、保護電廠真實業(yè)務(wù)系統(tǒng)，為應(yīng)急響應(yīng)時間爭取時間。欺騙防御系統(tǒng)獲取攻擊者的地址、樣本、黑客指紋等信息，可掌握其詳細攻擊路徑、攻擊工具、終端指紋和行為特征，實現(xiàn)全面取證，精準溯源。欺騙防御系統(tǒng)是基于行為的檢測，特征繞過攻擊難以奏效，可有效發(fā)現(xiàn)未知攻擊行為。通過和FW、IPS等防御設(shè)備聯(lián)動，對攻擊行為實時封堵。同時通過對未知攻擊行為的特征提取用于IDS、IPS等產(chǎn)品進行特征升級，提高攻擊檢測能力，不斷賦能安全防御體系。

5結(jié)語

欺騙防御系統(tǒng)通過蜜罐、蜜餌技術(shù)，組建具有迷惑、誘捕、監(jiān)控能力的欺騙防御體系，實現(xiàn)當攻擊者繞過或突破防御措施時隱藏其攻擊目標、拖延其攻擊節(jié)奏、捕獲攻擊行為及方法的目的。因此，利用欺騙防御技術(shù)構(gòu)建具有高仿真度的誘捕網(wǎng)絡(luò)，提供具有混淆防護目標的干擾能力，能夠?qū)粽吖粜袨檫M行分析與告警，能夠?qū)粽呱矸葸M行溯源分析，能夠與現(xiàn)有防護體系實現(xiàn)聯(lián)動布控。既滿足當前最新安全防護需求，又能夠強化網(wǎng)絡(luò)安全管控能力，提升各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的可靠性和安全防護能力，對保障電力系統(tǒng)安全穩(wěn)定運行具有重要意義。在當前網(wǎng)絡(luò)安全形勢日趨嚴峻的背景下，對各電力企業(yè)部署網(wǎng)絡(luò)安全設(shè)備有很好的借鑒意義。

參考文獻：

[1]何昊坤.蜜罐技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用與研究[J].網(wǎng)絡(luò)安全和信息化，2022（01）：128-133..

作者:裴辰曄 單位:國能浙江南潯天然氣熱電有限公司